Niesławny trojan bankowy Sharkbot powraca, a wśród szczególnie zagrożonych pojawiają się Polacy - alarmuje grupa Fox IT.
Zasadniczo na temat szkodliwego oprogramowania w Sklepie Play można byłoby stworzyć po prostu artykuł-szablon, po czym zmieniać w nim wyłącznie nazwy trojanów i datę raportu.
Niniejszym jednak sprawa jest paląca o tyle, że wśród zagrożonych wprost wymieniono użytkowników z Polski. W dodatku pasożyt został ukryty jako narzędzie antywirusowe, co czyni go jeszcze bardziej niebezpiecznym, gdyż raczej niewielu spodziewa się aż tak bezczelnej konspiracji.
Zwodnicze aplikacje to tym razem Mister Phone Cleaner i Kylhavy Mobile Security, mające łącznie około 60 tys. pobrań. Niby niewiele, ale za to kryjący się za nimi atak może dać w kość naprawdę boleśnie. Mianowicie jest to trojan bankowy Sharkbot V2.
W odróżnieniu od generacji pierwszej, nowy Sharkbot w ogóle nie wykorzystuje systemu uprawnień, co jest relatywnie często wykrywane przez zaporę Sklepu Play.
Zamiast tego przesyła zaszyfrowane żądanie do serwera C&C, by szkodliwy kod zassać jako rzekomą aktualizację. Patrząc z punktu widzenia przestępców, wadą tego rozwiązania jest konieczność uzyskania zgody ze strony użytkownika, ale w zamian atak pozostaje niezauważony.
Po stronie użytkownika najgorsze jest to, że ów malware potrafi przeprowadzać działania typu ATS, czyli mówiąc wprost, podmienić numer rachunku w zleceniu przelewu. Ale na tym niestety nie koniec.
Sharkbot V2 ponadto rejestruje kliknięcia klawiszy i przekazuje SMS-y, w tym te z kodami autoryzacyjnymi. Na domiar złego, radzi sobie z podmianą stron logowania do serwisów transakcyjnych na ich fałszywe, gromadzące wpisywane dane wersje, a od niedawna ponoć przechwytuje także ciasteczka sesji i informację o saldzie.
Źródło zdjęć: Kamil Zajaczkowski / Shutterstock
Źródło tekstu: The Hacker News, oprac. własne
